EN nyligen dokumenterad bakdörr vid namn Gazer har identifierats som det senaste verktyget för spionkampanjer runt om i Europa.
ESET, det ledande globala internetsäkerhetsföretaget publicerar idag upptäckten av en ny, avancerad bakdörr som används av den notoriska hackergruppen Turla. ESETs forskare är de första som dokumenterar denna nya bakdörr som varit en attackvektor sedan 2016 och som har europeiska institutioner som måltavla. Den har fått namnet Gazer.
Typiska tillvägagångssätt för Turla
Med målet satt på europeiska myndigheter och ambassader runt om i världen i många år har Turla gjort sig kända genom att använda vattenhåls- (att infektera betrodda webbplatser som måltavlor kan tänkas besöka) och spjutfiskekampanjer (riktad phising mot specifika individer, ofta med individuell touch) för att närma sig sina mål.
ESETs forskare har sett Gazer, den nyligen dokumenterade bakdörren, aktiverad på en mängd datorer runt om i världen, företrädesvis i Europa.
“Taktiken, tekniken och procedurerna vi ser här är alla i linje med Turlas normala tillvägagångssätt” säger Jean-Ian Boutin, Senior Malware Researcher hos ESET. “En första bakdörr som Skipper, troligen introducerad genom spjutfiske, följs upp med att systemet ytterligare komprometteras i ett andra steg i form av en mer avancerad bakdörr, i detta fall Gazer.”
Hitta det osynliga
I likhet med andra-steget-bakdörrar som Turla använt tidigare, såsom Carbon och Kazuar får Gazer instruktioner i krypterad form från en command & control-server som kan exekveras på en redan infekterad maskin eller på en annan maskin på nätverket.
Gazers skapare nyttjar sin egen version av krypto, med egna 3DES och RSA-bibliotek. RSA-nycklarna som hittats i filerna innehåller den publika serverns nyckel som attackeraren kontrollerar och en privat nyckel.
Nycklarna är unika för varje instans och används för att kryptera och avkryptera data som sänds och mottas från command & control-servern. Vidare, har de notoriska brottslingarna i Turla använt sig av virtuella filsystem i Windows-registret för att undvika upptäckt av Antivirusskydd och för att kunna fortsätta drabba de infekterade systemen.
“Turla anstränger sig ordentligt för att inte hittas i ett infekterat system” fortsätter Boutin. "Gruppen raderar filer från de infekterade systemet, ändrar strängar och texter i olika versioner. I det senaste fallet har Gazers skapare använt texter från spel såsom “Only single player is allowed”. Att ESETs forskarteam lyckats hitta denna nya, tidigare odokumenterad bakdörr är ett steg i rätt riktning för att tackla det växande problemet med cyberspionage i dagens digitala värld.
För att få reda på fler tekniska detaljer om Turlas nya bakdörr, läs blogginlägget eller ladda ner rapporten här eller via WeLiveSecurity.com.
ESET logo - Primary - Colour - Mid Grey tag - RGB_small.png
Storlek: 0,01 MB Typ: png Upplösning: 236x34ESET logo - Primary - Colour - Mid Grey tag - RGB_small.png
Storlek: 0,01 MB Typ: png Upplösning: 236x34Om ESET
Sedan 1987 har ESET® utvecklat prisbelönta säkerhetslösningar, som idag används av mer än 100 miljoner användare världen över. Den breda produktportföljen omfattar praktiskt taget alla plattformar och erbjuder företag och hemanvändare en perfekt balans av prestanda och proaktivt skydd. Företaget har ett globalt försäljningsnätverk som täcker 180 länder och har regionala kontor i Kungälv, Oslo och Fredrikshamn. Besök www.eset.se för ytterligare information, eller följ oss på LinkedIn, Facebook och Twitter.
© Liana Technologies